默认情况下,通过端口 5480 上提供的管理界面,您可以启用对 vCenter Server Appliance 的 SSH 访问。如何使用 PowerCLI 以编程方式完成此操作?
在开发环境中,我想修改我的 AD 帐户的“密码上次设置”日期,这样它们就不会在开发阶段开始过期,而是在环境变成生产环境时立即过期。
我怎样才能更改那个日期?
在单 AD 林的 DC 上,我以默认域管理员Administrator(在本例中也是企业管理员)身份登录。在提升的 PowerShell 中,我尝试使用以下命令获取 Kerberos 加密类型(如此处所述):
ksetup /getenctypeattr my.example.com
但我收到一条错误消息:
Query of attributes on MY.EXAMPLE.COM failed with 0xc0000034
Failed /GetEncTypeAttr : 0xc0000034
结果(很可能),我在尝试设置加密类型时也会收到此错误,如this question中所述,不幸的是,该问题目前没有一个严肃的答案。
这确实发生在 Windows Server 2016 和 Windows Server 2019 上,它们大多使用默认设置进行设置。一个简单的怎么会失败?错误代码似乎没有记录。有人知道如何解决或解决这个问题吗?
在 GUI(Active Directory 域和信任MMC 管理单元 ( domain.msc))中,您可以为信任关系设置“其他域支持 Kerberos AES 加密”设置:
我正在寻找一种以编程方式设置此设置的方法。我已经查看了Install-ADDSDomainPowerShell cmdlet 以及该netdom TRUST工具,但两者似乎都不包含设置Kerberos AES 加密设置的选项。
有人可以告诉我,如何以编程方式设置此设置?
我有一个简单的 MS ADDS 多域林设置,带有一个父域和一个子域。我使用这个官方文档成功地将 RHEL 8 服务器加入了子域。所有操作系统都已通过使用尽可能多的默认值进行设置。我可以通过使用子域的 AD 帐户成功 SSH 到 RHEL 服务器。但是当我尝试使用父域的帐户时,登录失败。我一提交父域的用户名,就journalctl报如下错误:
sssd_be[...]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (KDC has no support for encryption type)
我检查了每个域的 DC,可以确认所有 DC 都支持相同的三种默认加密类型(存储在msDS-SupportedEncryptionTypes每个 DC 计算机帐户的属性中):
- RC4_HMAC_MD5
- AES128_CTS_HMAC_SHA1_96
- AES256_CTS_HMAC_SHA1_96
我还确认 RHEL 8 提供了合适的加密类型 ( /etc/crypto-policies/back-ends/krb5.config):
[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac
因此,应该有两个匹配项:aes128-cts-hmac-sha1-96和aes256-cts-hmac-sha1-96。正如我已经说过的,它在子域中运行良好。那么,为什么没有适合父域的加密类型呢?
我从 HPE ProLiant System Utilities (BIOS) 启动到 HPE Smart Storage Administrator (SSA),以将具有 RAID6(和现有数据)的逻辑驱动器迁移到 RAID5。在开始需要几个小时才能完成的迁移任务后,我唯一能做的就是点击X右上角的 。之后我被困在屏幕上说:
完成配置后 - 重新启动系统。
这意味着什么?我可以通过 iLO(重置或冷启动)重新启动服务器,还是必须等到迁移完成才能最终启动到我的操作系统?
在我的基础架构中,我有两台安装了 Windows Server 2019 和 Hyper-V 的服务器。SAN 通过 FC 直接连接到两台服务器。SAN 为两台服务器提供三个卷:一个用于仲裁的卷、一个用于 VM 的卷和一个用于数据的卷。
我计划部署一个文件服务,该服务的可用性与我给定的基础设施一样高。因此 - 因为我有两个节点 - 我想部署两个文件服务器。这样,我可以容忍一台完整的服务器(主机)发生故障或一台虚拟文件服务器发生故障。只有一台虚拟文件服务器(启用了 HA),我只能容忍一台主机的故障,但不能容忍 VM 本身的故障。
我计划使用我的 SAN 的数据卷来部署共享虚拟硬盘,两个虚拟文件服务器都将使用它来提供文件共享。
此外,我希望用户不必关心他们访问哪个文件服务器来访问他们的文件。\\FileSrv1\Data\README.md应该是一样的\\FileSrv2\Data\README.md,但是用户应该可以像访问它一样\\FS\Data\README.md。据我所知,这是 DFS 的典型用例。但我不希望两个文件服务器复制它们的数据,因为我有一个共享存储。
所以我的问题是,在我的场景中,我可以同时使用虚拟文件服务器的共享存储和 DFS 来抽象文件访问吗?
不幸的是,Active Directory 域和信任MMC 管理单元 (domain.msc) 允许您创建对域控制器的传出信任(换句话说:将域控制器的名称指定为要信任的域的名称)。更不幸的是,您无法通过 GUI 恢复此更改。如果您尝试删除此信任,您将收到带有以下消息的警告弹出窗口:
发生内部错误。
尝试通过以下方式删除它netdom:
netdom trust my.domain.local /domain:dc1 /oneside:trusting /remove /force
也失败并显示相同的消息:
发生内部错误。
那么如何删除这样的信任对象呢?